如果你遇到問題,可能需要排查 適用於端點的 Microsoft Defender 入門流程。 本頁提供詳細步驟,協助你排除部署工具時可能發生的入職問題,以及裝置上常見的錯誤。
在開始排查啟動工具問題之前,確認是否符合裝置導入服務的最低要求非常重要。 了解將裝置導入服務所需的授權、硬體與軟體要求。
提示
作為本文的配套,請參閱我們的 適用於端點的 Microsoft Defender 設定指南,以檢視最佳實務並學習攻擊面減少與次世代防護等重要工具。 若想根據您的環境客製化體驗,您可以在 Microsoft 365 系統管理中心取得 Defender for Endpoint 自動設定指南。
必要條件
支援的作業系統
- Windows Server 2012 R2 及以後版本
排解入職工具的問題
如果你已經完成新手流程,但一小時後在 裝置清單 裡還沒看到裝置,這可能代表你有新手或連線問題。
部署時使用群組原則時的入門故障排除
部署時會依群組原則在裝置上執行啟動腳本。 群組原則主控台不會顯示部署是否成功。
如果你完成了入門流程,但一小時後在 裝置清單 中還沒看到裝置,可以檢查腳本在裝置上的輸出。 欲了解更多資訊,請參閱「 使用腳本部署時的入職故障排除」。
若腳本成功完成,請參閱「 裝置上的入門問題故障排除 」以了解可能發生的其他錯誤。
使用 Microsoft Endpoint Configuration Manager 部署時的入門問題故障排除
使用以下版本的 Configuration Manager 來導入裝置:
- Microsoft Endpoint Configuration Manager
- System Center 2012 Configuration Manager
- System Center 2012 R2 Configuration Manager
使用上述版本的 Configuration Manager 部署時,需在裝置上執行啟動腳本。 你可以在 Configuration Manager 主控台追蹤部署進度。
如果部署失敗,你可以檢查腳本在裝置上的輸出。
如果新進程序成功完成,但裝置一小時後仍未顯示在 裝置清單 中,請參閱「 裝置的入門故障排除 」以了解可能發生的其他錯誤。
部署腳本時的入職故障排除
請檢查裝置腳本的結果:
點擊開始,輸入事件檢視器,然後按下 Enter。
前往 Windows 日誌>應用程式。
請尋找 WDATPOnboarding 活動來源的活動。
如果腳本失敗且事件為錯誤,你可以查看下表中的事件 ID,以協助你排除問題。
注意事項
以下活動 ID 僅適用於入職腳本。
| 事件識別碼 | 錯誤類型 | 解決步驟 |
|---|---|---|
5 |
雖然找到了離職資料,但無法刪除 | 特別檢查登錄檔上的權限
|
10 |
入職資料無法寫入登錄檔 | 特別檢查登錄檔上的權限
確認腳本是否以管理員身份執行。 |
15 |
未能啟動 SENSE 服務 | 檢查服務健康 (sc query sense 指揮) 。 確保它不是中間狀態 (「Pending_Stopped」、「Pending_Running」) ,然後嘗試用管理員權限) (再次執行腳本。 如果裝置運行的是 Windows 10,版本 1607,且執行指令 |
15 |
未能啟動 SENSE 服務 | 如果錯誤訊息為:系統錯誤 577 或錯誤 1058 發生,您需要啟用 Microsoft Defender 防毒 ELAM 驅動程式,詳見「確保 Microsoft Defender 防毒軟體未被政策禁用」的說明。 |
15 |
未能啟動 SENSE 服務 | SENSE 隨選功能 (FoD) 可能不會安裝。 要判斷是否已安裝,請從管理員 CMD/PowerShell 提示字元輸入以下指令:DISM.EXE /Online /Get-CapabilityInfo /CapabilityName:Microsoft.Windows.Sense.Client~~~~如果回傳錯誤或狀態未顯示「已安裝」,則必須安裝 SENSE FoD。 請參閱「隨選功能:適用於端點的 Microsoft Defender 的 SENSE 用戶端」一節,了解安裝說明。 |
30 |
腳本未能等待服務開始執行 | 服務可能啟動時間較長,或是在嘗試啟動時遇到錯誤。 欲了解更多與 SENSE 相關的事件與錯誤資訊,請參閱 使用事件檢視器檢視事件與錯誤。 |
35 |
腳本未能找到所需的入職狀態登錄值 | 當 SENSE 服務首次啟動時,會將啟動狀態寫入登錄檔位置
劇本幾秒後找不到。 你可以手動測試看看是否存在。 欲了解更多與 SENSE 相關的事件與錯誤資訊,請參閱 使用事件檢視器檢視事件與錯誤。 |
40 |
SENSE 服務的入職狀態並未設定為 1 | SENSE 服務未能正確導入。 欲了解更多與 SENSE 相關的事件與錯誤資訊,請參閱 使用事件檢視器檢視事件與錯誤。 |
65 |
特權不足 | 用管理員權限再次執行腳本。 |
70 |
離職腳本是給另一個組織用的 | 取得 SENSE 服務所屬組織的離職腳本。 |
使用 Microsoft Intune 進行故障排除
你可以使用 Microsoft Intune 檢查錯誤代碼並嘗試排除問題原因。
如果你在 Intune 裡設定了政策,但這些政策沒有在裝置上傳遞,你可能需要設定自動 MDM 註冊。
請參考以下表格,了解入職過程中可能出現的問題原因:
- Microsoft Intune錯誤代碼與 OMA-URIs 表
- 已知不合規表的問題
- 行動裝置管理 (MDM) 事件日誌表
如果事件日誌和故障排除步驟都無法運作,請從入口網站的 裝置管理 區下載本地腳本,並在提升命令提示字元執行。
Microsoft Intune錯誤代碼與 OMA-URIs
| 錯誤代碼六角 | 錯誤代碼 12 | Error Description | 歐瑪-烏里 | 可能的原因與故障排除步驟 |
|---|---|---|---|---|
| 0x87D1FDE8 | -2016281112 | 修復失敗 | 上線 離職 |
可能的原因: 在錯誤的 blob 上,啟動或離線失敗:簽名錯誤或缺少 PreviousOrgIds 欄位。 故障排除步驟: 請檢查 裝置事件日誌中「檢視代理啟動錯誤 」中的事件 ID。 請查看下表中的 MDM 事件日誌,或依照 Windows 中診斷 MDM 失敗的指示操作。 |
| 上線 離職 取樣分享 |
可能原因:適用於端點的 Microsoft Defender 的登錄檔金鑰不存在,或 OMA DM 客戶端沒有寫入該登錄鍵的權限。
故障排除步驟: 請確保有以下登錄檔金鑰: 如果沒有,就開啟一個升級指令並新增金鑰。 |
|||
| SenseIsRunning(感覺在奔跑) 入職狀態 組織 |
可能的原因: 嘗試以唯讀屬性來修復。 入職失敗了。 故障排除步驟: 請查看 裝置的「故障排除啟動問題」中的故障排除步驟。 請查看下表中的 MDM 事件日誌,或依照 Windows 中診斷 MDM 失敗的指示操作。 |
|||
| 全部 |
可能的原因:嘗試在非支援的 SKU/平台,特別是全息 SKU,部署 適用於端點的 Microsoft Defender。 目前支援的平台: 企業、教育與專業。 伺服器不被支援。 |
|||
| 0x87D101A9 | -2016345687 | SyncML (425) :請求指令失敗,因為發送端沒有足夠的存取控制權限 (接收端的 ACL) 。 | 全部 |
可能的原因:嘗試在非支援的 SKU/平台,特別是全息 SKU,部署 適用於端點的 Microsoft Defender。 目前支援的平台: 企業、教育與專業。 |
已知的違規問題
下表提供有關不合規問題的資訊,以及你如何處理這些問題。
| 案例 | 徵狀 | 可能的原因與故障排除步驟 |
|---|---|---|
1 |
裝置已通過 SenseIsRunning OMA-URI 標準。 但 OrgId、Onboarding 和 OnboardingState 的 OMA-URI 都不符合規定。 |
可能的原因: 檢查該使用者在安裝或升級後通過 OOBE。 在 OOBE 期間無法完成入職,但 SENSE 已經在運行中。 故障排除步驟: 等體外經驗(OBE)結束。 |
2 |
裝置符合 OrgId、Onboarding 及 OnboardingState 的 OMA-URI 規範,但 SenseIsRunning OMA-URI 則不符合。 |
可能的原因: Sense 服務的啟動類型設定為「延遲啟動」。 有時這會導致 Microsoft Intune 伺服器在系統啟動時發生 DM 會話時,SenseIsRunning 將該裝置報告為不合規。 故障排除步驟: 問題應該會在 24 小時內自動修復。 |
3 |
裝置不合規 | 故障排除步驟: 確保入職與出職政策不會同時部署在同一台裝置上。 |
行動裝置管理 (MDM) 事件日誌
查看 MDM 事件日誌,以排解入職過程中可能出現的問題:
日誌名稱:Microsoft\Windows\DeviceManagement-EnterpriseDiagnostics-Provider
頻道名稱:管理員
| 識別碼 | 嚴重性 | 事件說明 | 疑難排解步驟 |
|---|---|---|---|
| 1819 | 錯誤 | 適用於端點的 Microsoft Defender CSP:未能設定節點的值。 NodeId: (%1) ,TokenName: (%2) ,結果: (%3) 。 | 下載Windows 10 1607的累積更新。 |
排除裝置上的新手問題
如果所使用的部署工具沒有顯示入職流程錯誤,但一小時內裝置仍未出現在裝置清單中,請逐一檢視以下驗證主題,檢查適用於端點的 Microsoft Defender 代理是否發生錯誤。
在裝置事件日誌中查看代理程式入職錯誤
點擊開始,輸入事件檢視器,然後按下 Enter。
在事件檢視器 (的本地) 窗格中,展開Windows>SENSEMicrosoft>應用程式與服務日誌>。
注意事項
SENSE 是內部名稱,用來指稱驅動適用於端點的 Microsoft Defender的行為感測器。
選擇 操作以 載入日誌。
在 動作 面板中,點選 「篩選目前日誌」。
在 篩選 標籤中,事件 層級下: 選擇 Critical、 Warning 和 Error,然後點 選確定。
能顯示問題的事件會出現在 操作 面板中。 你可以根據下表中的解決方案嘗試排除故障:
事件識別碼 郵件 解決步驟 5適用於端點的 Microsoft Defender 服務無法連接 variable 的伺服器 確保裝置有網路連線。 6適用於端點的 Microsoft Defender 服務尚未被導入,也找不到任何入職參數。 故障代碼: 變數 再跑一次入職腳本。 7適用於端點的 Microsoft Defender 服務未能讀取入職參數。 故障代碼: 變數 確認裝置有網路連線,然後重新執行整個上線流程。 9適用於端點的 Microsoft Defender 服務未能更改其起始類型。 故障代碼:變數 如果事件發生在入職期間,請重新啟動並嘗試執行入職腳本。 更多資訊請參閱 「再次執行入職腳本」。
如果事件發生在離職期間,請聯絡客服。10適用於端點的 Microsoft Defender 服務未能持久化入職資訊。 故障代碼:變數 如果事件發生在入職期間,請重新嘗試執行入職腳本。 更多資訊請參閱 「再次執行入職腳本」。
如果問題依舊,請聯絡客服。15適用於端點的 Microsoft Defender 無法啟動 URL: 變數的指令通道 確保裝置有網路連線。 17適用於端點的 Microsoft Defender 服務未能更改連接使用者體驗與遙測服務的位置。 故障代碼:變數 再跑一次入職腳本。 如果問題依舊,請聯絡客服。 25適用於端點的 Microsoft Defender 服務未能在登錄檔中重設健康狀態。 故障代碼: 變數 連絡客戶支援。 27未能在 Windows Defender 中啟用 適用於端點的 Microsoft Defender 模式。 入職流程失敗。 故障代碼:變數 連絡客戶支援。 29沒看出出職條件。 錯誤類型:%1,錯誤代碼:%2,描述:%3 確認裝置有網路連線,然後重新執行整個離職流程。 30在 適用於端點的 Microsoft Defender 中未能停用 (build.sense.productDisplayName) 模式。 故障代碼:%1 連絡客戶支援。 32$ (build.sense.productDisplayName) 服務在出航程序後未請求停止。 故障代碼:%1 確認服務啟動類型是手動的,然後重新啟動裝置。 55未能建立 Secure ETW 自動記錄器。 故障代碼:%1 重新啟動裝置。 63更新外部服務的開始類型。 名稱:%1,實際起始類型:%2,預期起始類型:%3,退出代碼:%4 找出導致啟動服務類型變動的原因。 如果出口代碼不是 0,手動將起始類型改成預期起始類型。 64啟動時外部服務停止。 名稱:%1,出口代碼:%2 如果事件持續出現,請聯絡客服。 68服務的啟動方式出乎意料。 服務名稱:%1,實際起始類型:%2,預期起始類型:%3 找出導致起始類型改變的原因。 修正中提到的服務啟動類型。 69服務已經停止。 服務名稱:%1 啟動上述服務。 如果問題持續,請聯絡客服。
裝置上還有其他元件,適用於端點的 Microsoft Defender 代理程式會依賴這些元件來正常運作。 如果 適用於端點的 Microsoft Defender 代理事件日誌中沒有與入職管理相關的錯誤,請依以下步驟確保額外元件的設定正確。
確保診斷資料服務已啟用
注意事項
在 Windows 10 1809 及以後版本中,Defender for Endpoint EDR 服務不再直接依賴 DiagTrack 服務。 即使這項服務沒有運行,EDR 網路證據仍可上傳。
如果裝置回報不正確,你可能需要檢查 Windows 診斷資料服務是否設定為自動啟動且是否在裝置上運行。 該服務可能因其他程式或使用者設定變更而被停用。
首先,你應該檢查服務是否設定為 Windows 啟動時自動啟動,然後檢查服務目前是否正在運行, (如果沒有啟動,就啟動它) 。
確保服務已設定為開始
使用命令列檢查 Windows 診斷資料服務的啟動類型:
在裝置上開啟一個提升級的命令列提示字元:
a. 點選 開始,輸入 cmd,然後按下 Enter。
b. 以滑鼠右鍵按一下 [命令提示字元],然後選取 [以系統管理員身分執行]。
輸入以下指令,並按下 Enter:
sc qc diagtrack如果服務已啟用,結果應該會像以下截圖:
如果 沒有
START_TYPE設定為AUTO_START,那你需要設定服務自動啟動。
請使用命令列設定 Windows 診斷資料服務自動啟動:
在裝置上開啟一個提升級的命令列提示字元:
a. 點選 開始,輸入 cmd,然後按下 Enter。
b. 以滑鼠右鍵按一下 [命令提示字元],然後選取 [以系統管理員身分執行]。
輸入以下指令,並按下 Enter:
sc config diagtrack start=auto會顯示成功訊息。 請輸入以下指令,並按 Enter 鍵來驗證變更:
sc qc diagtrack開始禮拜。 在命令提示字元輸入以下指令並按下 Enter 鍵:
sc start diagtrack
確保裝置有網路連線
適用於端點的 Microsoft Defender 感應器需要 Microsoft Windows HTTP (WinHTTP) 回報感應器資料,並與適用於端點的 Microsoft Defender 服務通訊。
WinHTTP 獨立於網際網路瀏覽代理設定及其他使用者情境應用程式,必須能偵測您所在環境中可用的代理伺服器。
為確保感測器具備服務連接性,請依照「驗證用戶端連接性與 適用於端點的 Microsoft Defender 服務 URL 主題」中所述的步驟。
如果驗證失敗,且你的環境使用代理連接網際網路,請依照 「配置代理與網際網路連線設定 」主題中的步驟操作。
確保 Microsoft Defender 防毒軟體不會因政策而被停用
重要事項
以下內容僅適用於尚未收到 2020 年 8 月 (版本 4.18.2007.8) Microsoft Defender防毒軟體更新的裝置。
此更新確保 Microsoft Defender 防毒軟體無法透過系統政策在用戶端裝置上關閉。
問題:適用於端點的 Microsoft Defender 服務在啟用後無法啟動。
症狀:啟動成功完成,但嘗試啟動服務時會看到錯誤 577 或錯誤 1058。
解決方案:如果您的裝置運行第三方反惡意軟體客戶端,適用於端點的 Microsoft Defender代理必須啟用 ELAM) 驅動程式 (早期啟動反惡意軟體。 你必須確保系統政策不會讓它關閉。
根據你用來實施政策的工具,你需要確認以下 Windows Defender 政策已被清除:
- 禁用防間諜軟體
- DisableAntiVirus
例如,在群組原則中不應有以下數值的條目:
<Key Path="SOFTWARE\Policies\Microsoft\Windows Defender"><KeyValue Value="0" ValueKind="DWord" Name="DisableAntiSpyware"/></Key><Key Path="SOFTWARE\Policies\Microsoft\Windows Defender"><KeyValue Value="0" ValueKind="DWord" Name="DisableAntiVirus"/></Key>
重要事項
disableAntiSpyware自 2020 年 8 月 4.18.200.8 () Microsoft Defender 防毒軟體更新後,該設定已停止,且所有 Windows 10 裝置將被忽略。
清除保單後,再執行一次入職步驟。
您也可以透過開啟登錄表金鑰來檢查先前的登錄檔金鑰
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender值,以確認政策是否被停用。
注意事項
所有 Windows Defender 服務 (
wdboot、wdfilter、wdnisdrvwdnissvcwindefend、) 都應該處於預設狀態。 更改這些服務的啟動方式是不支援的,可能會迫使你重新映像系統。 與WdFilter的預設配置WdBoot範例:<Key Path="SYSTEM\CurrentControlSet\Services\WdBoot"><KeyValue Value="0" ValueKind="DWord" Name="Start"/></Key><Key Path="SYSTEM\CurrentControlSet\Services\WdFilter"><KeyValue Value="0" ValueKind="DWord" Name="Start"/></Key>
如果Microsoft Defender防毒軟體處於被動模式,這些驅動程式會設定為手動 (
0) 。
排除 Windows Server 2016 及更早版本 Windows Server 的入門問題。
如果您在啟動伺服器時遇到問題,請依照以下驗證步驟處理可能的問題。
- 確保Microsoft監控代理程式 (MMA) 已安裝並設定以向服務回報感測器資料
- 確保伺服器代理與網路連線設定正確配置
- 請參閱 Windows Server 2016 與 Windows Server 2012 R2 的內建說明
你可能還需要檢查以下事項:
檢查工作管理員的「程序」分頁是否有執行 適用於端點的 Microsoft Defender 服務。 例如:
請檢查事件檢視器>、應用程式與服務日誌、>操作管理員,看看是否有錯誤。
在 服務中,檢查伺服器上是否有執行 Microsoft 監控代理 程式。 例如:
在Microsoft監控代理>Azure日誌分析 (OMS) 中,檢查工作空間並確認狀態是否正在執行。
請檢查裝置是否反映在入口網站的 裝置清單 中。
確認新建裝置的入職
有時可能會在新建設備上部署入職但未完成。
本文的步驟針對以下情境提供指引:
- 導入套件部署於新建設備
- 感測器無法啟動,是因為開箱即用體驗 (OOBE) 或首次使用者登入尚未完成
- 裝置在使用者進行首次登入前會被關閉或重新啟動
- 在這種情況下,即使已部署入職套件,SENSE 服務也不會自動啟動
注意事項
在以下或較新的 Windows 版本中,SENSE 服務啟動不再需要 OOBE 後的使用者登入:
- Windows 10 版本 1809 或更新版本
- Windows Server 2019 及以後版本
- Azure Stack HCI OS,版本 23H2 及以後版本
使用 Microsoft Endpoint Configuration Manager 進行入門故障排除
注意事項
以下步驟僅適用於使用 Microsoft Endpoint Configuration Manager 時。 欲了解更多使用 Microsoft Endpoint Configuration Manager 的入門資訊,請參閱 適用於端點的 Microsoft Defender。
在 Microsoft Endpoint Configuration Manager 建立應用程式。
選擇 手動指定申請資訊。
先指定應用程式資訊,然後選擇 「下一步」。
請指定軟體中心資訊,然後選擇 「下一步」。
在 部署類型 中選擇 新增。
選擇 手動指定部署類型資訊,然後選擇 「下一步」。
請指定部署類型的資訊,然後選擇 「下一步」。
在 內容>安裝程式 中指定指令:
net start sense。
在 偵測方法中,選擇 「配置規則」以偵測此部署類型的存在,然後選擇 「新增條款」。
請指定以下偵測規則細節,然後選擇 確定:
在 偵測方法 中選擇 「下一步」。
在 使用者體驗中,請指定以下資訊,然後選擇 「下一步」:
在 需求中,選擇 下一步。
在 相依關係中,選擇 「下一步」。
總結,選擇「下一步」。
在 完成中,選擇 關閉。
在 部署類型中,選擇 「下一步」。
總結,選擇「下一步」。
接著會顯示狀態:
在 完成中,選擇 關閉。
你現在可以透過右鍵點擊應用程式並選擇 部署來部署應用程式。
在 一般 中 選擇「自動分發相依內容 」並 瀏覽。
在 內容 中選擇 下一步。
在 部署設定中,選擇 「下一步」。
在 排程 中選擇「 盡可能快」,然後選擇 「下一步」。
在 使用者體驗中,選擇在 截止日期或維護期間 (需要重新啟動的變更提交) ,然後選擇 下一步。
在 警報中 選擇 「下一步」。
總結,選擇「下一步」。
接著會顯示狀態:
在 完成中,選擇 關閉。
